Domänen weite Schema AktualisierungenDomain-wide schema updates

Gilt für: Windows ServerApplies To: Windows Server

Sie können die folgenden Änderungen überprüfen, um die Schema Aktualisierungen zu verstehen und vorzubereiten, die von adprep/domainprep in Windows Server ausgeführt werden.You can review the following set of changes to help understand and prepare for the schema updates that are performed by adprep /domainprep in Windows Server.

Ab Windows Server 2012 werden adprep-Befehle bei Bedarf bei der AD DS Installation automatisch ausgeführt.Beginning in Windows Server 2012, Adprep commands run automatically as needed during AD DS installation. Sie können auch separat im Voraus AD DS Installation ausgeführt werden.They can also be run separately in advance of AD DS installation. Weitere Informationen finden Sie unter Ausführen von Adprep.exe.For more information, see Running Adprep.exe.

Weitere Informationen zum Interpretieren der ACE-Zeichen folgen (Access Control Entry, Zugriffs Steuerungs Eintrag) finden Sie unter ACE-Zeichen folgen.For more information about how to interpret the access control entry (ACE) strings, see ACE strings. Weitere Informationen zum Interpretieren der Sicherheits-ID (SID)-Zeichen folgen finden Sie unter sid-Zeichen folgen.For more information about how to interpret the security ID (SID) strings, see SID strings.

Windows Server (halbjährlicher Kanal): Domänen weite UpdatesWindows Server (Semi-Annual Channel): Domain-wide updates

Nachdem die von domainprep in Windows Server 2016 (Operation 89) ausgeführten Vorgänge beendet wurden, wird das Revisions Attribut für das Objekt CN = ActiveDirectoryUpdate, CN = DomainUpdates, CN = System, DC = ForestRootDomain auf 16 festgelegt.After the operations that are performed by domainprep in Windows Server 2016 (operation 89) complete, the revision attribute for the CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain object is set to 16 .

Vorgangs Nummer und GUIDOperations number and GUID BESCHREIBUNGDescription BerechtigungenPermissions
Vorgang 89 : {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD}Operation 89 : {A0C238BA-9E30-4EE6-80A6-43F731E9A5CD} Löschen Sie den ACE, der Vollzugriff auf Organisations Schlüssel-Administratoren gewährt, und fügen Sie einen ACE hinzu, der Enterprise Key-Administratoren die vollständige Kontrolle über das msdskeykredentiallink-Attribut gewährt.Delete the ACE granting Full Control to Enterprise Key Admins and add an ACE granting Enterprise Key Admins Full Control over just the msdsKeyCredentialLink attribute. Löschen (A; RKI Rpwpcrlcloccdcrcwdwosddzw;;; Enterprise Key-Administratoren)Delete (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins)

Hinzufügen (OA; RKI Rpwp; 5b47d60f -6090-40b2-9F 37-2a4debug-Datei Enterprise Key-Administratoren)Add (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterprise Key Admins)

Windows Server 2016: Domänen weite UpdatesWindows Server 2016: Domain-wide updates

Nachdem die von domainprep in Windows Server 2016 (Operations 82-88) ausgeführten Vorgänge beendet wurden, wird das Revisions Attribut für das Objekt CN = ActiveDirectoryUpdate, CN = DomainUpdates, CN = System, DC = ForestRootDomain auf 15 festgelegt.After the operations that are performed by domainprep in Windows Server 2016 (operations 82-88) complete, the revision attribute for the CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain object is set to 15 .

Vorgangs Nummer und GUIDOperations number and GUID DescriptionDescription AttributeAttributes BerechtigungenPermissions
Vorgang 82 : {83c53da7-427E-47a4-a07a-a324598b88b88fOperation 82 : {83C53DA7-427E-47A4-A07A-A324598B88F7} Create CN = Keys-Container im Stammverzeichnis der DomäneCreate CN=Keys container at root of domain -objectClass: Container- objectClass: container
-Description: Standardcontainer für Schlüssel Anmelde Informationsobjekte- description: Default container for key credential objects
-ShowInAdvancedViewOnly: true- ShowInAdvancedViewOnly: TRUE
Ein RKI Rpwpcrlcloccdcrcwdwosddzw;;; Erkrankungen(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA)
Ein RKI rpwpcrlcloccdcrcwdwosddzw;;;D Ein(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA)
Ein RKI Rpwpcrlcloccdcrcwdwosddzw;;; Mütter(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)
Ein RKI rpwpcrlcloccdcrcwdwosddzw;;;D D(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DD)
Ein RKI Rpwpcrlcloccdcrcwdwosddzw;;; Über(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;ED)
Vorgang 83 : {C81FC9CC-0130-4FD1-B272-634D74818133}Operation 83 : {C81FC9CC-0130-4FD1-B272-634D74818133} Fügen Sie den Container "Full Control allow ACEs to CN = Keys" für "domain\key Admins" und "rootdomain\enter Prise Key Admins" hinzu.Add Full Control allow aces to CN=Keys container for "domain\Key Admins" and "rootdomain\Enterprise Key Admins". Nicht zutreffendN/A Ein RKI Rpwpcrlcloccdcrcwdwosddzw;;; Haupt Administratoren)(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Key Admins)
Ein RKI Rpwpcrlcloccdcrcwdwosddzw;;; Enterprise Key-Administratoren)(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins)
Vorgang 84 : {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA}Operation 84 : {E5F9E791-D96D-4FC9-93C9-D53E1DC439BA} Ändern Sie das OtherWellKnownObjects-Attribut so, dass es auf den Container CN = Keys verweist.Modify otherWellKnownObjects attribute to point to the CN=Keys container. -otherWellKnownObjects: b:32:683a24e2e8164bd3af86ac3c2cf3f981: CN = Keys,% WS- otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws Nicht zutreffendN/A
Vorgang 85 : {e6d5fd00-385d-4e65-B02D-9da3493ed850}Operation 85 : {e6d5fd00-385d-4e65-b02d-9da3493ed850} Ändern Sie den Domänen-NC, um "domain\key Admins" und "rootdomain\enter Prise Key Admins" zu ändern, um das msDS-keykredentiallink-Attribut zu ändern.Modify the domain NC to permit "domain\Key Admins" and "rootdomain\Enterprise Key Admins" to modify the msds-KeyCredentialLink attribute. Nicht zutreffendN/A OA RKI Rpwp; 5b47d60f -6090-40b2-9F 37-2a4debug-Datei Haupt Administratoren)(OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Key Admins)
OA RKI Rpwp; 5b47d60f -6090-40b2-9F 37-2a4debug-Datei Enterprise Key-Administratoren in der Stamm Domäne, aber in nicht Stamm Domänen führte zu einem gefälschte-Domänen relativen ACE mit einer nicht auflösbaren 527-sid.(OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;Enterprise Key Admins in root domain, but in non-root domains resulted in a bogus domain-relative ACE with a non-resolvable -527 SID)
Vorgang 86 : {3a6b3f BF-3168-4312-a10d-dd5b3393952d}Operation 86 : {3a6b3fbf-3168-4312-a10d-dd5b3393952d} Gewähren Sie dem Besitzer "DS-validieren-Write-Computer" und selbstGrant the DS-Validated-Write-Computer CAR to creator owner and self Nicht zutreffendN/A OA Ciio; SW; 9b026da6-0d3c-465c-8bee-5199d7165cba; bf967a86-0de6-11D0-A285-00aa003049e2; PS)(OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
OA Ciio; SW; 9b026da6-0d3c-465c-8bee-5199d7165cba; bf967a86-0de6-11D0-A285-00aa003049e2; Co)(OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO)
Vorgang 87 : {7F 950403-0ab3-47F 9-9730-5d7b0269f 9 BD}Operation 87 : {7F950403-0AB3-47F9-9730-5D7B0269F9BD} Löschen Sie den ACE, der Vollzugriff auf die Gruppe der falschen Domänen bezogenen Organisations Schlüssel-Administratoren gewährt, und fügen Sie einen ACE hinzu, der der Gruppe "Organisations Schlüssel-Admins" Vollzugriff gewährt.Delete the ACE granting Full Control to the incorrect domain-relative Enterprise Key Admins group, and add an ACE granting Full Control to Enterprise Key Admins group. Nicht zutreffendN/A Löschen (A; RKI Rpwpcrlcloccdcrcwdwosddzw;;; Enterprise Key-Administratoren)Delete (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins)

Hinzufügen (A; RKI Rpwpcrlcloccdcrcwdwosddzw;;; Enterprise Key-Administratoren)Add (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Enterprise Key Admins)
Vorgang 88 : {434bb40 d-dbc9-4fe7-81d4-d57229f7b080}Operation 88 : {434bb40d-dbc9-4fe7-81d4-d57229f7b080} Fügen Sie "msDS-expirepasswordsonsmartcardonlyaccounts" für das Domänen-NC-Objekt hinzu, und legen Sie Standardwert auf false fest.Add "msDS-ExpirePasswordsOnSmartCardOnlyAccounts" on the domain NC object and set default value to FALSE Nicht zutreffendN/A Nicht zutreffendN/A

Die Gruppen Enterprise Key Admins und Key Admins werden erst erstellt, nachdem ein Windows Server 2016-Domänen Controller herauf gestuft und die PDC-Emulator-FSMO-Rolle übernommen wurde.The Enterprise Key Admins and Key Admins groups are only created after a Windows Server 2016 Domain Controller is promoted and takes over the PDC Emulator FSMO role.

Windows Server 2012 R2: Domänen weite UpdatesWindows Server 2012 R2: Domain-wide updates

Obwohl keine Vorgänge von domainprep in Windows Server 2012 R2 ausgeführt werden, wird nach Abschluss des Befehls das Revisions Attribut für das Objekt CN = ActiveDirectoryUpdate, CN = DomainUpdates, CN = System, DC = ForestRootDomain auf 10 festgelegt.Although no operations are performed by domainprep in Windows Server 2012 R2, after the command completes, the revision attribute for the CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain object is set to 10 .

Windows Server 2012: Domänen weite UpdatesWindows Server 2012: Domain-wide updates

Nachdem die von domainprep in Windows Server 2012 (Operations 78, 79, 80 und 81) ausgeführten Vorgänge beendet wurden, wird das Revisions Attribut für das Objekt CN = ActiveDirectoryUpdate, CN = DomainUpdates, CN = System, DC = ForestRootDomain auf 9 festgelegt.After the operations that are performed by domainprep in Windows Server 2012 (operations 78, 79, 80, and 81) complete, the revision attribute for the CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain object is set to 9 .

Vorgangs Nummer und GUIDOperations number and GUID DescriptionDescription AttributeAttributes BerechtigungenPermissions
Vorgang 78 : {c3c927a6-cc1d-47c0-966B-be8f9b63d991}Operation 78 : {c3c927a6-cc1d-47c0-966b-be8f9b63d991} Erstellen Sie ein neues Objekt "CN = TPM-Geräte" in der Domänen Partition.Create a new object CN=TPM Devices in the Domain partition. Objektklasse: mstpm-informationobjectcontainerObject class: msTPM-InformationObjectsContainer Nicht zutreffendN/A
Vorgang 79 : {54afcfb9-637a-4251-9f47-4d50e7021211}Operation 79 : {54afcfb9-637a-4251-9f47-4d50e7021211} Es wurde ein Zugriffs Steuerungs Eintrag für den TPM-Dienst erstellt.Created an access control entry for the TPM service. Nicht zutreffendN/A OA Ciio; WP; ea1b7b93-5e48-46d5-bc6c-4df4fda78a35; bf967a86-0de6-11D0-A285-00aa003049e2; PS)(OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS)
Vorgang 80 : {f4728883-84dd-483c-9897-274f2ebcf11e}Operation 80 : {f4728883-84dd-483c-9897-274f2ebcf11e} Erteilen Sie für die Gruppe " klonbare Domänen Controller " Erweiterte Rechte "Klon-DC".Grant "Clone DC" extended right to Cloneable Domain Controllers group Nicht zutreffendN/A (OA;; CR; 3e0f 7E18-2c7a-4c10-ba82-4d926db99a3e;; Domänen-SID -522)(OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;; domain SID -522)
Vorgang 81 : {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff}Operation 81 : {ff4f9d27-7157-4cb0-80a9-5d6f2b14c8ff} Erteilen Sie dem Prinzipal selbst für alle Objekte ms-DS-allowed-to-act-on-Namen-of-other-Identity.Grant ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity to Principal Self on all objects. Nicht zutreffendN/A OA CIOI; Rpwp; 3b78c3e5-b-46bd-a0b8-9d18116ddc79;; Psel(OA;CIOI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS)